ZeuS żyje!

Kaspersky Lab informuje o najnowszych odkryciach zwiÄ…zanych z trojanem ZeuS, który ostatnio atakowaÅ‚, miÄ™dzy innymi, klientów polskich banków. Najnowsze dane dowodzÄ…, że ZeuS jest ciÄ…gle ulepszany i zyskuje nowÄ… funkcjonalność.

Niedawno okazaÅ‚o siÄ™, że „design” ZeuSa zostaÅ‚ przekazany twórcy konkurencyjnego trojana o nazwie SpyEye. Ostatnio analitycy z Kaspersky Lab znaleźli w próbce SpyEye’a fragment ZeuSa, prawdopodobnie wiÄ™c autor nowego szkodnika zaimplementuje wkrótce w swoim kodzie to, co najcenniejsze w ZeuSie, tworzÄ…c prawdziwe monstrum.

Eksperci ds. bezpieczeÅ„stwa obserwujÄ… staÅ‚y strumieÅ„ próbek ZeuSa i prawie wszystkie z nich to dobrze znane wersje tego szkodliwego programu. Jednak od czasu do czasu pojawiajÄ… siÄ™ dość nietypowe modyfikacje i sÄ… powody, aby sÄ…dzić, że w pewnym zakresie ZeuS wciąż jest utrzymywany i rozwijany.

Dwa miesiące temu analitycy z Kaspersky Lab wykryli nową funkcję ZeuSa: trojan sprawdza, czy jest uruchamiany na platformie testowej, np. w specjalnym środowisku laboratorium antywirusowego. Uruchamianie trojana było wstrzymywane, jeżeli pojawiały się oznaki, że szkodnik działa w środowisku stworzonym do analizowania jego zachowania.

Z kolei kilka tygodni temu pojawiÅ‚ siÄ™ inny wariant ZeuSa, który wykazywaÅ‚ nietypowe zachowanie jak na tÄ™ rodzinÄ™. Wszystkie jego ostatnie odmiany miaÅ‚y ten sam algorytm dekodowania sekcji we wÅ‚asnym kodzie, która zawieraÅ‚a pierwotne ustawienia wewnÄ™trzne trojana. Nowa, nietypowa próbka zawieraÅ‚a podwójne szyfrowanie. Najpierw dane byÅ‚y szyfrowane przy użyciu standardowego algorytmu, jednak adres w odsyÅ‚aczu do pliku konfiguracyjnego byÅ‚ faÅ‚szywy. Prawdziwy odsyÅ‚acz do pliku konfiguracyjnego, który zawieraÅ‚ adres centrum kontroli botnetu, zostaÅ‚ ujawniony dopiero po drugim deszyfrowaniu.

Na poczÄ…tku marca analitycy z Kaspersky Lab trafili na próbkÄ™ ZeuSa, która również sprawdza, czy jest analizowana przez, na przykÅ‚ad, firmy antywirusowe. Jej funkcjonalność jest niemal taka sama, sÄ… jednak drobne modyfikacje – dodano kolejne kryterium wykrywania nowej platformy testowej. W tym wariancie ZeuSa zmodyfikowana zostaÅ‚a również struktura fragmentów kodu, która przez ponad 6 miesiÄ™cy pozostawaÅ‚a niezmieniona i byÅ‚a wykorzystywana w tysiÄ…cach próbek trojanów.

Zmiany w kodzie pokazujÄ…, że próbka ta zostaÅ‚a stworzona przy użyciu nowej wersji pakietu do konstruowania ZeuSa. Funkcja umożliwiajÄ…ca wykrywanie platformy testowej jest unikatowa i wyglÄ…da na to, że zostaÅ‚a dodana do standardowej funkcjonalnoÅ›ci ZeuSa. To sugeruje, że dla wÄ…skiego grona ostatnich klientów korzystajÄ…cych z usÅ‚ug cyberprzestÄ™pców, którzy stworzyli ZeuSa, wciąż Å›wiadczona jest pomoc techniczna.

„Powstaje pytanie, z czym wÅ‚aÅ›ciwie mamy do czynienia: z agoniÄ… czy odrodzeniem siÄ™ szkodnika?” - mówi Dmitrij Tarakanow, analityk zagrożeÅ„ z Kaspersky Lab. „Być może ZeuS bÄ™dzie mniej rozpowszechniony, bardziej ekskluzywny, dostÄ™pny dla kilku wybraÅ„ców. Jak bÄ™dzie w rzeczywistoÅ›ci, czas pokaże...”